I - Une définition par défaut juridiquement consacrée
Cela pouvait être une gageure de définir, de la manière la plus large possible, ce qui par principe n’est connu que d’un petit nombre d’initiés.
Et pourtant, relevant ce défi, le droit a consacré une norme juridique unifiée afin « d’étalonner », par défaut, cette notion constituée de R&D, « de savoir-faire et d’informations commerciales non divulguées » pour reprendre le titre de la directive.
Les secrets d’affaires sont ainsi identifiés sous trois conditions cumulatives :
1) non connus du grand public et/ou du secteur professionnel concerné ;
2) ayant une valeur commerciale, réelle ou potentielle, parce que secrets ;
3) et faisant l’objet de mesures spécifiques destinées à les garder confidentiels.
Cela peut être un algorithme, une méthode, une stratégie commerciale comme le lancement d’un nouveau produit, un schéma organisationnel, la composition d’une recette, d’un parfum, …
Sous cette définition commune, le secret des affaires est présenté comme un outil juridique alternatif permettant de consolider la sécurité des actifs informationnels de l’entreprise.
II - Les exceptions au secret :
Par dérogation, le secret des affaires n’est pas protégé lorsque :
- le droit en impose la communication, notamment en cas de contrôle ou d’enquête des autorités judiciaires ou administratives ;
- le secret est divulgué par des journalistes dans le cadre de la liberté d’expression et du droit d’informer ;
- un lanceur d’alerte révèle de bonne foi, de manière désintéressée et dans le but de protéger l’intérêt général, une activité illégale, une fraude ou un comportement répréhensible ;
- il s’agit d’empêcher ou de faire cesser toute atteinte à l’ordre public, à la sécurité, à la santé publique et à l’environnement ;
- il a été obtenu dans le cadre de l’exercice du droit à l’information des salariés ou de leurs représentants.
III - Comment protéger le secret des affaires de l’entreprise ?
Seules les entreprises ayant mis en place en amont des « protections raisonnables » pour garder leurs informations secrètes pourront faire valoir leurs droits devant les tribunaux et les faire reconnaître en tant que telles.
Si elle ne le fait pas, elle risque de ne pas pouvoir opposer sa protection des secrets d’affaires devant le juge qui écartera la qualification de secret des affaires et la protection qui va de pair.
En d’autres termes, le texte suppose que les entreprises prennent en charge leur protection selon une politique de sécurité qu’il lui appartient de définir en fonction de la nature des informations qu’elle entend protéger.
Par conséquent, une protection efficace du secret des affaires suppose la mise en œuvre d’un processus composé de trois étapes-clés :
1) l’identification des informations confidentielles ;
2) leur classification ;
3) l’organisation de leur protection par des moyens adaptés.
Conseils pratiques :
Il faut se concentrer sur ce qui doit être tenu secret ; toute information n’a pas vocation à être protégée. En effet, tout classifier serait contreproductif - car une entreprise par nature évolue dans un monde économique qui appelle souplesse, agilité, réactivité et disponibilité - il convient au préalable de recenser les données constitutives des avantages concurrentiels de l’entreprise.
Puis, l’entreprise doit faire l’effort de prioriser et hiérarchiser les informations.
Il est fortement conseillé de leur attribuer un code reflétant le niveau de classification selon différents critères : public, sensible, critique, stratégique (par exemple C0, C1, C2, C3).
Il faut également délimiter le périmètre des personnes ayant accès à ces informations.
IV – Secret des affaires et protection des données personnelles de l’entreprise
D’une certaine manière, l’approche relative à la protection de ces données confidentielles n’est pas une démarche éloignée de celle instituée par le RGPD.
Elle diffère néanmoins par ce besoin d’identification préalable des secrets de l’entreprise qu’il lui appartient de désigner conformément à la définition ci-dessus tandis que le RGPD protège les données des tiers strictement désignées par la loi.
En outre, le mode de protection des données personnelles est beaucoup plus contraint selon des obligations règlementaires, quand le choix des moyens de protection raisonnable est à la discrétion de l’entreprise ; mais par souci d’efficacité opérationnelle la politique de protection des données personnelles peut inspirer celle organisant la sécurité des secrets d’affaires de l’entreprise, ne serait-ce qu’en désignant un seul et même délégué à la protection des données (DPO).
V - Le rôle cardinal du juge dans la qualification du secret des affaires
La protection des secrets d’affaires peut être invoquée devant les tribunaux contre les actes :
1) d’obtention,
2) de divulgation
3) et d’utilisation illicites
Le procès sera déterminant à double titre :
- Le juge va estimer si l’entreprise a mis en œuvre les moyens de protection raisonnables pour sécuriser ses informations stratégiques, rendant ainsi celles-ci éligibles à la protection du secret des affaires telle que prévue par loi ;
- dans l’affirmative, le juge devra veiller à instituer les mesures nécessaires afin que le secret ne soit pas dévoilé :
- a) Création d’un périmètre de confidentialité pour les parties (avocats, experts, témoins).
- b) Restriction dans l’accès aux pièces produites au cours de la procédure.
- c) Restriction dans l’accès aux audiences.
- d) Jugement élagué de l’énonciation des secrets d’affaires.
Cette saisine du juge permet à son titulaire :
i. de solliciter auprès du juge des mesures d’interdiction, y compris provisoires ;
ii. de solliciter des mesures « correctives » se traduisant notamment par l’interdiction d’importation de produits fabriqués en violation de secrets d’affaires.
En matière de réparation civile, outre le préjudice constaté, le juge pourra également tenir compte des conséquences économiques négatives telles que le manque à gagner ou les bénéfices réalisés par le contrevenant.
